SASE e ZTNA: capacità di accesso alla rete Zero Trust di SASE
La Market Guide for Zero Trust Network Access (ZTNA) di Gartner ha previsto che, entro il 2023, il 60% delle aziende abbandonerà le VPN e utilizzerà invece lo ZTNA. Il principale fattore chiave di ZTNA è l’evoluzione dei perimetri delle reti aziendali. Occorre tenere conto dei carichi di lavoro nel cloud, del lavoro da casa, della mobilità e delle risorse di rete on-premises e le soluzioni specifiche, come le appliance VPN, non sono lo strumento giusto per questo lavoro.
Ad alto livello, possiamo riassumere il vantaggio di ZTNA rispetto alla VPN con una sola parola: granularità. Lo Zero Trust Network Access consente alle aziende di limitare l’accesso a un livello che le VPN e altri approcci alla sicurezza di rete di tipo “castle-and-moat” non sono in grado di raggiungere.
Questo controllo a livello granulare è anche il motivo per cui Zero Trust Network Access completa l’approccio basato sull’identità alle richieste di accesso di rete SASE (Secure Access Service Edge). Grazie a Zero Trust Network Access integrato in una piattaforma di rete cloud-native, SASE è in grado di collegare le risorse delle aziende moderne (utenti mobili, siti, applicazioni cloud e data center cloud) con il giusto grado di accesso. Ma in che modo ZTNA e SASE collaborano per mantenere questa promessa? Diamo un’occhiata…
Cos’è Zero Trust Network Access?
Zero Trust Network Access, noto anche come perimetro definito dal software (SDP)è un approccio moderno per proteggere l’accesso alle applicazioni e ai servizi sia nel cloud che on-premises. Il funzionamento di ZTNA è semplice: negare a tutti e a tutto l’accesso alla risorsa, a meno che non sia esplicitamente consentito. Questo approccio consente una sicurezza generale della rete più rigorosa e una micro-segmentazione che può limitare i movimenti laterali in caso di violazione.
Oggi, con le specifiche soluzioni di sicurezza di rete tradizionali, una volta che un utente supera un’appliance di sicurezza ottiene implicitamente l’accesso alla rete a tutto ciò che si trova nella stessa sottorete. Di conseguenza aumenta intrinsecamente il rischio e la superficie di attacco. ZTNA capovolge questo paradigma. Con ZTNA, l’IT deve consentire esplicitamente l’accesso alle risorse di rete e può applicare restrizioni fino al livello dell’applicazione.
SASE e Zero Trust
ZTNA è una piccola parte di SASE. SASE limita l’accesso di tutti gli edge (siti, utenti mobili e risorse cloud) in conformità ai principi di ZTNA. In altre parole, le capacità NGFW e SWG di SASE sono il modo in cui SASE limita l’accesso; ZTNA è il grado di restrizione dell’accesso agli edge di SASE.
SASE mette insieme Zero Trust Network Access, NGFW e altri servizi di sicurezza insieme a servizi di rete come SD-WAN, ottimizzazione WAN e aggregazione della larghezza di banda in una piattaforma cloud-native. Questo significa che le aziende che sfruttano l’architettura SASE ricevono i vantaggi dell’accesso alla rete a fiducia zero, oltre a una suite completa di soluzioni di rete e di sicurezza semplici da gestire e altamente scalabili.
I vantaggi di SASE e di Zero Trust Network Access
Il primo vantaggio di SASE e di Zero Trust Network Access è il miglioramento notevole della sicurezza dovuto a un approccio alla sicurezza basato sull’identità e sul rifiuto di default. Anche se un utente malintenzionato compromette una risorsa di rete, ZTNA può limitare i danni. Inoltre, i servizi di sicurezza SASE possono stabilire una linea di base del comportamento normale della rete, che consente un approccio più proattivo alla sicurezza della rete in generale e al rilevamento delle minacce in particolare. Con una solida linea di base, è più facile rilevare, arginare e prevenire i comportamenti dannosi.
Oltre ai vantaggi in termini di sicurezza, l’accoppiamento di SASE e ZTNA risolve un’altra serie di problemi che le soluzioni specifiche creano alle aziende moderne: la proliferazione delle appliance e la complessità della rete. Con le soluzioni specifiche VPN, le aziende sono costrette a implementare appliance aggiuntive per funzionalità come SD-WAN e NGFW. Ciò significa che opex e capex aumentano per ogni sito aggiuntivo che necessita di un’appliance. Inoltre, le integrazioni tra appliance, utenti mobili e servizi cloud aumentano notevolmente la complessità della rete. SASE e ZTNA eliminano questi problemi fornendo una soluzione cloud-native che funziona per tutti gli edge della rete. Ciò significa che i servizi cloud, gli utenti mobili, l’IoT, le filiali e le reti aziendali ricevono tutti lo stesso livello di sicurezza senza aumentare drasticamente la complessità dell’implementazione o i costi.
In sintesi, rispetto alle tradizionali soluzioni specifiche, Zero Trust Network Access con SASE è:
- Più facile da scalare. La proliferazione delle appliance rende le soluzioni specifiche VPN difficili da gestire con la crescita della rete. SASE offre alla sicurezza di rete la scalabilità di una piattaforma cloud-native multi-tenant.
- Più granulare. Con le soluzioni tradizionali, le aziende possono implementare criteri che limitano l’accesso in base agli indirizzi IP. SASE e Zero Trust Network Access consentono il controllo degli accessi e la visibilità della rete fino al livello di applicazioni e identità specifiche.
- Più sicuro. Le soluzioni specifiche erano sufficienti nell’era in cui il concetto “castel-and-moat” forniva una sicurezza di rete sufficiente. Tuttavia, le reti moderne hanno topologie che semplicemente non rientrano in questo paradigma. Assicurando che tutti gli edge della rete siano presi in considerazione (ad esempio, abilitando l’accesso mobile clientless) e utilizzando soluzioni di sicurezza costruite appositamente per le moderne topologie di rete, SASE e ZTNA possono aumentare significativamente la sicurezza.
- Più veloce e più affidabile. Spesso le appliance VPN diventano rallentamenti per la WAN e hanno un impatto negativo sulle prestazioni. Questo perché le singole appliance hanno limiti di CPU e di risorse. Con un approccio cloud-native, SASE astrae da queste limitazioni delle risorse e migliora ulteriormente le prestazioni della WAN fornendo anche l’ottimizzazione della WAN come parte del tessuto di rete sottostante.
La prima vera piattaforma SASE con Zero Trust Network Access
Il mercato SASE è ancora in fase di maturazione, e molti fornitori SASE non riescono a mantenere la vera promessa di SASE. Per tale motivo, è importante imparare cosa non è SASE. Oltre a essere stato etichettato come “sample vendor” di SASE nell'”Hype Cycle for Enterprise Networking, 2019″ di Gartner, Cato Networks è anche la prima vera piattaforma SASE al mondo.
La piattaforma SASE di Cato è stata costruita da zero pensando alle moderne reti aziendali. La piattaforma combina funzionalità di sicurezza come Zero Trust Network Access, SWG, NGFW e IPS con servizi di gestione delle reti come SD-WAN e ottimizzazione WAN nonché una dorsale privata globale con uno SLA di tempo di funzionamento del 99,999%. Di conseguenza, Cato è l’unico fornitore attualmente in grado di mantenere la vera promessa di SASE dal punto di vista delle prestazioni, della sicurezza e della scalabilità.
Per scoprire la piattaforma Cato SASE in azione, iscrivetevi per una demo o contattateci oggi stesso. Per un approfondimento su SASE, consultate l’e-book “The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)“.